Attaque ShadowHammer : ASUS réagit et publie un outil de diagnostic

Espérons qu'il est clean
6 min
Attaque ShadowHammer : ASUS réagit et publie un outil de diagnostic
Crédits : GiorgioMagini/iStock

Des pirates ont utilisé des serveurs d'ASUS pour diffuser un programme malveillant signé numériquement avec un vrai certificat du fabricant. Il ciblait ensuite des centaines de machines. Malgré la gravité de la situation, ASUS a finalement publié un communiqué revenant sur l'affaire.

Au cours de l'année dernière, une version frelatée de l'utilitaire ASUS Live Update a été téléchargée et installée sur des dizaines de milliers d'ordinateurs.

Problème, ce fichier et son cheval de Troie étaient signés numériquement avec un certificat valide du fabricant. Il ne s'agissait en fait que de la première vague d'une attaque dont le but était de « cibler chirurgicalement un groupe d’utilisateurs inconnus, identifiés par les adresses MAC de leurs cartes réseau ».

Elle s'est déroulée entre juin et novembre 2018, mais n'a été identifiée que récemment. Le pot aux roses a été révélé par Kaspersky grâce à l'ajout d'une nouvelle technologie de détection des menaces en janvier, puis confirmée par Symantec. 

Un faux Live Update signé et diffusé par ASUS

Live Update est un petit programme installé par défaut sur les ordinateurs du fabricant et servant de passerelle pour les mises à jour des BIOS/UEFI, des pilotes, des applications maison, etc.

ASUS étant le cinquième plus gros fabricant de PC dans le monde (en volume), cette attaque pouvait potentiellement toucher un très grand nombre de machines et donc faire de gros dégâts. «Selon nos statistiques, plus de 57 000 utilisateurs des produits Kaspersky Lab ont installé cet outil qui contient une porte dérobée, mais nous pensons qu’il a pu être distribué à près d'un million de personnes », explique Kaspersky.

Près de 20 % des victimes identifiées par la société se trouvent en Russie, 16 % en Allemagne et 13 % en France. D'autres pays sont à moins de 10 %. Impossible pour autant d'en tirer la moindre conclusion puisque ces chiffres sont « fortement influencés par la répartition des utilisateurs de Kaspersky dans le monde ». En théorie, « la répartition des victimes devrait correspondre à celle des utilisateurs d’ASUS dans le monde entier ».

ASUS  ShadowHammer

Toujours selon Kaspersky, « il s’agit d’une attaque très sophistiquée » du même niveau voire dépassant celles de Shadowpad et CCleaner en termes de complexité technique. La raison pour laquelle le virus est resté dans l'ombre aussi longtemps tient au fait que le programme était signé avec des certificats légitimes, provenant par exemple d'« ASUSTeK Computer Inc », qui étaient hébergés sur des serveurs officiels comme liveupdate01s.asus.com et liveupdate01.asus.com.

Ce n'est d'ailleurs pas un, mais deux certificats qui ont été utilisés. Le premier ayant expiré au milieu de l'année dernière, il a été remplacé par un autre en cours de route. Autant de faisceaux qui indiquent que les pirates avaient un accès en profondeur à au moins une partie du réseau d'ASUS.

Une première étape avant la frappe chirurgicale

Tout aussi intéressant, cette attaque d'envergure n'était que la première étape d'une frappe chirurgicale ciblant « seulement » 600 ordinateurs, identifiés par leur adresse MAC. Ces dernières étaient codées en dur dans les plus de 200 échantillons de l'application étudiés par Kaspersky. Une méthode « utilisée contre les logiciels de trois autres vendeurs », prévenus également par l'éditeur.

Prudents, les chercheurs ajoutent tout de même que d'autres listes pourraient avoir été mises en place dans d'autres versions de l'utilitaire. Kaspersky a mis en ligne une site dédié afin de savoir si votre adresse MAC a été spécialement ciblée par ShadowHammer.

Pour le moment, les lieux, l'identité des machines et/ou des personnes visées ne sont pas précisés. Les chercheurs n'ont pas réussi à analyser en détail le fonctionnement de la seconde phase de cette attaque. En effet, le serveur de contrôle a été fermé en novembre dernier, avant que l'attaque ne soit découverte. Impossible donc pour le moment de dire quel était le but de cette seconde étape.

ASUS  ShadowHammer

Après avoir fait l'autruche, ASUS réagit

Kaspersky affirme avoir contacté ASUS le 31 janvier, bien avant que cette attaque ne soit rendue publique. Vitaly Kamluk, un des directeurs de Kaspersky, affirme à Motherboard qu'un employé a ensuite rencontré ASUS le 14 février, mais la société n'aurait pas vraiment réagi depuis et n'aurait « même pas informé ses clients de ce problème ».

Pire encore, ASUS aurait continué à utiliser l'un des certificats compromis pour signer ses propres fichiers un mois après en avoir été informé par Kaspersky. Si elle a depuis cessé, elle n'aurait par contre toujours pas révoqué les deux certificats en question. Contactée, ce matin, elle promettait un communiqué, qui vient d'être publié.

Elle y précise que « les Menaces Persistantes Avancées (APT) sont des attaques à l'échelle nationale généralement perpétrées par certains gouvernements visant des organisations ou entités internationales plutôt que les utilisateurs grand public. ASUS Live Update est un logiciel propriétaire intégré aux notebooks ASUS pour maintenir les pilotes et firmwares ASUS à jour. L'attaque APT sur nos serveurs Live Update a permis aux pirates informatiques de placer un code malveillant dans certains de nos ordinateurs pour cibler un groupe spécifique et limité d'utilisateurs ».

Une manière de minimiser le problème pour le grand public qui ne devrait ainsi pas se considérer comme visé, malgré l'ampleur de la faille. Le constructeur ajoute avoir pris contact avec les utilisateurs concernés et mis à jour Live Update (v3.6.8) « en y introduisant notamment de multiples mécanismes de vérification sécuritaire empêchant toute manipulation malveillante sous la forme de mises à jour logicielles ou autre ».

Du chiffrement de bout en bout est également de la partie, ce qui ne semble pas très utile dans une situation où les certificats de la société et ses serveurs ont été compromis. ASUS incite ses clients à la contacter pour toute question et promet avoir « mis à jour puis renforcé l'architecture logicielle de nos serveurs pour empêcher toute nouvelle tentative d'attaque », sans plus de détails. Un outil de diagnostic a été créé, pour vérifier les systèmes impactés. 

Plus de détails à venir

Kaspersky indique de son côté qu'il donnera plus de détails lors de son Kaspersky Security Analyst Summit qui se déroulera du 8 au 11 avril prochain à Singapour.

Dans tous les cas, « cette attaque montre que la confiance que nous accordons, basée sur des noms connus et sur la validation par des signatures numériques, ne peut garantir une protection contre les logiciels malveillants », affirme Vitaly Kamluk en guise de conclusion.

Pour rappel, ASUS était déjà sous le feu des projecteurs en 2016, la FTC montait au créneau pour dénoncer des failles critiques sur ses routeurs. Un accord a depuis été trouvé avec la mise en place d'audits de sécurité réguliers et indépendants, auxquels la société doit se conformer pour au moins 20 ans.

Ce contenu est désormais en accès libre

Il a été produit grâce à nos abonnés, l'abonnement finance le travail de notre équipe de journalistes.

ou choisissez l'une de nos offres d'abonnement :

20 commentaires
Avatar de DayWalker Abonné
Avatar de DayWalkerDayWalker- 26/03/19 à 08:43:14

Comme quoi, ca vaut le coup de ne surtout pas laisser installée toute la pléthore de logiciels installés d'office sur nos machines, histoire de réduire la voilure d'attaque.

D'autant plus que de toute façon, les constructeurs font très peu de mises à jour, juste les 2-3 premières années. Par la suite, leurs outils ne servent plus à rien, vu que les pilotes seront généralement à chercher du coté des fabricants de circuits (Intel / AMD / Nvidia / Realtek / Marvel etc)

Avatar de Tr4ks Abonné
Avatar de Tr4ksTr4ks- 26/03/19 à 09:03:19

Ce qui serait intéressant c'est de savoir comment ils ont récupéré les certificats. C'est pas le genre de truc qu'on laisse traîner n'importe où normalement.

Avatar de seboquoi Abonné
Avatar de seboquoiseboquoi- 26/03/19 à 09:12:25

Navrant..

Avatar de Gilbert_Gosseyn Abonné
Avatar de Gilbert_GosseynGilbert_Gosseyn- 26/03/19 à 09:15:03

(quote:40606:DayWalker) Comme quoi, ca vaut le coup de ne surtout pas laisser installée toute la pléthore de logiciels installés d'office sur nos machines, histoire de réduire la voilure d'attaque.D'autant plus que de toute façon, les constructeurs font très peu de mises à jour, juste les 2-3 premières années. Par la suite, leurs outils ne servent plus à rien, vu que les pilotes seront généralement à chercher du coté des fabricants de circuits (Intel / AMD / Nvidia / Realtek / Marvel etc)

C'est une bonne habitude à prendre : tant déinstaller les crasses installées par défaut que de refaire dans un second temps une install propre du système.

(quote:40612:Tr4ks) Ce qui serait intéressant c'est de savoir comment ils ont récupéré les certificats. C'est pas le genre de truc qu'on laisse traîner n'importe où normalement.

C'est une excellente question, qui pose également celle de la chaîne de sécurité mise en place chez ASUS.

Avatar de jb18v Abonné
Avatar de jb18vjb18v- 26/03/19 à 09:26:29

(quote:40606:DayWalker) Comme quoi, ca vaut le coup de ne surtout pas laisser installée toute la pléthore de logiciels installés d'office sur nos machines, histoire de réduire la voilure d'attaque.D'autant plus que de toute façon, les constructeurs font très peu de mises à jour, juste les 2-3 premières années. Par la suite, leurs outils ne servent plus à rien, vu que les pilotes seront généralement à chercher du coté des fabricants de circuits (Intel / AMD / Nvidia / Realtek / Marvel etc)

+1

quand je vois la bouse Lenovo Update qui se lance sur le pc du boulot et le met en mode soufflerie d'avion j'ai des envies de meurtre. Enfin comme on peut pas le virer je me contente de killer le processus.

Avatar de refuznik Abonné
Avatar de refuznikrefuznik- 26/03/19 à 10:13:55

Non seulement les assaillants avait les certificats mais surtout les serveurs d'update.

Avatar de Enayem Abonné
Avatar de EnayemEnayem- 26/03/19 à 10:24:01

Désolé, mais moi je trouve nécessaire au contraire les logiciels de mise à jour installés par défaut par les fabriquant. Apparemment pas tout les fabriquant.

Avatar de Soraphirot Abonné
Avatar de SoraphirotSoraphirot- 26/03/19 à 10:38:43

(quote:40624:Enayem) ...

Nécessaire en quoi ? Les drivers sont installés par Windows depuis Seven, certains fabricants poussent même les mises à jours BIOS/UEFI via Windows Update (c'est le cas de Dell) et dans 99% des cas les logiciels ajoutés ne servent à rien (les softs de recoverys, à part réinstaller une image avec les logiciels pourris ça sert plus, les utilitaires d'entretien ça n'a jamais servi et les logiciels multimédia ne font qui singer ce que Windows sait déjà faire mais très souvent en incitant à s'abonner/acheter).

Non, vraiment, les logiciels préinstallés ne servent à rien, c'est de la vente forcée.

Avatar de trOmAtism Abonné
Avatar de trOmAtismtrOmAtism- 26/03/19 à 11:09:08

A merde, j'ai une carte mère asus et le live update.

C'est vrai que lors de la mise à jours de ce logiciel, il c'est passé un truc chelou (une partie de l'installation en chinois).

Je vais vérifié si je suis dans la liste avec mon adresse MAC.

Par contre, si nous sommes dans la liste, quel recours avons nous?

Avatar de googfrgo Abonné
Avatar de googfrgogoogfrgo- 26/03/19 à 13:00:54

(quote:40630:trOmAtism) A merde, j'ai une carte mère asus et le live update.C'est vrai que lors de la mise à jours de ce logiciel, il c'est passé un truc chelou (une partie de l'installation en chinois).Je vais vérifié si je suis dans la liste avec mon adresse MAC.Par contre, si nous sommes dans la liste, quel recours avons nous?

Faire un scan antivirus/malware intégral sur AV à jour

Et virer cette saloperie

Édité par googfrgo le 26/03/2019 à 13:01
Il n'est plus possible de commenter cette actualité.
Page 1 / 2

2000 - 2019 INpact MediaGroup - SARL de presse, membre du SPIIL. N° de CPPAP 0321 Z 92244.

Marque déposée. Tous droits réservés. Mentions légales et contact